>> home >> business

SOXコンプライアンスの進め方 1. 監査とは 　監査には外部監査と内部監査がある。外部監査は監査法人が実施する。一方、内部監査は企業自らが実施する監査である。内部監査人は外部監査人と連携し、企業を監査することになる。従って、内部監査体制をみればその企業の内部統制の成熟度や監査レベル・IT化レベルあるいは企業の成熟度をある程度、把握することができる。 2. SOXコンプライアンスの進め方 　内部統制は日常のQC活動などと同様にPDCAのサイクルで、統制活動をより洗練されたものにしていくことが本来の姿である。しかし、JSOX(日本版企業改革法)にどのような手順で対処する必要があるかを考えると、アメリカでのSOXコンプライアンスの事例が参考になる。内部統制をJSOXに対応する為にコンプライアンス・プロジェクトを発足する必要があり、以下はそのプロジェクトの作業工程の概要(サンプル)である。プロジェクト終了後は従来の監査手順へと移行していく。尚、IT内部統制を前提としたものなので、業務監査については、ここでは範囲外(専門外につき不明)とさせて頂きます。 　 No. 作業工程 内容 参考資料の紹介 1 現状分析 内部統制の成熟度を分析し、(自己)診断・把握する。一般的には、監査法人のコンサルタント部門の支援を受けながら実施する。外部監査部門がコンサルを兼務し、支援することはない。 COBIT ISACA Management Guidelines for COBIT COSO 日本システム監査法人 日本内部監査協会 チェックリストを入手 2 プロジェクトの 目標設定 分析結果より、目標を設定し概算コスト・体制・スケジュールなどを決定する。尚、この時点でITILの導入要否も検討する。 - 3 プロセス設計 SOXコンプライアンス要件を考慮して、プロセスの改善を検討しTo be モデルを定義する。 - 4 開発 (文書化・システム化) To Be モデルに沿って文書化や新プロセスを開発する。 - 5 教育と導入 新プロセスの教育を実施し、導入する。組織の再編成や職務変更などが発生する場合もある。 - 6 テスト 導入された新プロセスが当初の設計どおりに機能しているかを検証し、問題があれば改善策を検討する。 - 7 外部監査 SOX法に適合しているか外部監査人がテストする。米国では監査結果はSECに報告される。 - 3. コンプライアンスのための目標設定について 　分析結果からコンプライアンス目標(プロジェクトの目標)を定める必要があるが、全てのチェック項目をクリアした企業は存在しないといわれている。つまり、参照したチェック項目はベストプラクティスとして集大成したものなので、実在する企業が無いのは当然のことである。従って、各企業の実情に応じた優先付けや統制のやり方を定義し、確実に実施できるレベルにする必要がある。これを誤ると本来の企業活動に支障がでたり、過度な投資や実施不可能となる可能性もあることを知っておいて頂きたい。未達項目については最終的に外部監査人から監査指摘事項として改善要項目となり、最終的に投資家に報告する必要がある。(情報の開示) また、全ての未達項目が指摘されるわけではない。企業規模・業種・社会情勢など様々な観点から検討され、優先度が高くかつその企業なら改善できると思われるレベルのものである。万一、ハードルが高くクリアするには数年を要するものであるならば、それは内部統制リスクとして情報を開示し、改善計画を表明することが重要である。そのことが投資家や証券アナリストにどのように判断されるかは不明であるが、情報の捏造や重要情報の開示の遅れが発覚し、信頼回復を指摘されるようなことに陥ってはならない。米国のある薬品会社の事例で薬品の欠陥を企業自ら率先して公表し、薬品の回収に全力をあげたケースでは、その事が消費者さらには投資家からの高い信頼と支持につながったという報告もある。 4. クイック診断の為のチェック項目表 　　　(チェック項目数 約200) 　　　自己診断のチェックリストを希望される方は、ご連絡願います。 SOXコンプライアンスシリーズ 1. 日本と米国の企業改革法の違い 2. SOXコンプライアンスの進め方 3. 日本企業の米国SOX事例に関するレポート (NTTデータ経営研究所の記事へリンク) 4. 日本版SOX法が1年延期され、最短2009年3月期? (ITproの記事へリンク)

| プロフィール | プライバシー | お問い合わせ |

Copyright(c)2006 ITコンサルタントのナレッジベース All rights reserved.